Imagem de destaque

Escrito por: David Zanetti

Quando: 22 de abril de 2024

Certificação ISO 27001: O que você precisa saber para implementar a norma

A ISO 27001 é uma norma certificável que atesta que sua empresa cumpre os requisitos do International Organization for Standardization (ISO) para gestão da segurança da informação. Seu conteúdo descreve o que é necessário para a implementação de um robusto Sistema de Gestão de Segurança da Informação (SGSI).

No momento atual, marcado pela intensa troca e armazenamento de informações (grande parte delas sensíveis) e pela entrada em vigor da LGPD, surge um crescente interesse do mercado em utilizar a implementação dessa norma como um caminho para prevenir vazamentos de dados e, obviamente, evitar prejuízos financeiros e de reputação.

O conjunto de requisitos descritos pela ISO 27001 auxilia a organização a se proteger de forma eficaz contra esses problemas, bem como diversos outros perigos relacionados à segurança da informação. Neste artigo sobre ISO 27001 você poderá entender:

  • Por qual razão devemos implementar os requisitos da norma
  • Quais são os requisitos para certificação
  • Como realizar a implementação e a certificação
  • Resultados da ISO 27001

Por qual razão devemos implementar os requisitos da norma ISO 27001

A principal razão que faz uma organização implementar um Sistema de Gestão de Segurança da Informação, em conformidade com os requisitos da ISO 27001, é minimizar sua vulnerabilidade a violações de segurança. Seja qual for do tipo de informação – dados financeiros, códigos de software, listas de clientes/fornecedores – e independentemente do modo como ela é armazenada, são necessários controles de segurança robustos.

Quantas vezes já ouvimos alguém que teve seu dispositivo pessoal roubado dizer que as informações contidas nele eram mais valiosas do que o próprio aparelho? A perda dessas informações não ocorre somente através do roubo físico, mas também pelos vazamentos ou mesmo sequestros lógicos das informações contidas neles.

Esses questionamentos são comuns entre usuários em geral: será que meus dados estão seguros com essa empresa? Será que poderei ter meus dados indevidamente usados para abertura de contas bancárias, tomada de empréstimos ou outras operações fraudulentas? Essa é uma realidade no Brasil, e também vemos exemplos fora do país de pessoas públicas que sofreram prejuízos de imagem devido a vazamentos de dados.

A ideia de implementar um SGSI (Sistema de Gestão da Segurança da Informação) é garantir às organizações e aos seus clientes que suas informações sensíveis e/ou estratégicas estejam sempre protegidas. A adoção da ISO 27001 demonstra que sua organização está usando uma abordagem de mitigação de riscos para selecionar e implementar controles de segurança da informação.

Inicialmente, pode parecer que a implementação de um SGSI representa um alto custo financeiro, com pouco retorno. Na prática, os custos serão compensados pela prevenção e redução do impacto e da frequência dos incidentes de segurança. Além disso, ter um SGSI tornou-se um requisito para contratação de fornecedores por empresas de grande porte, e ter um selo da ISO 27001 em geral já garante a essas organizações o seu comprometimento com a segurança dos dados.

 

Requisitos para certificação ISO 27001

A norma ISO 27001 é composta de cinco seções que estabelecem os requisitos principais e um apêndice que contém controles de segurança, cada um com objetivos e foco específicos, organizados nos seguintes grupos:

  • Política de segurança: fornecer orientação de gerenciamento e suporte para segurança de informações de acordo com os requisitos de negócios e leis e regulamentos relevantes. A política deve ser conhecida e aplicada por todos, além de apoiada formalmente pela direção da organização. 
  • Organização da segurança da informação: Gerenciar a segurança da informação dentro da organização e manter a segurança das informações da organização e das instalações de processamento que são acessadas, processadas, comunicadas ou gerenciadas por terceiros. 
  • Gestão de ativos: Alcançar e manter a proteção de ativos organizacionais, sejam eles ativos de hardware, software ou informações armazenadas. 
  • Segurança de recursos humanos: Garantir que funcionários, contratados e terceiros entendam suas responsabilidades e sejam adequados para as funções para as quais são considerados, estejam cientes das ameaças à segurança das informações e saiam da organização ou troquem de emprego de maneira ordenada. 
  • Segurança física e ambiental: Impedir o acesso físico não autorizado, danos e interferência nas instalações e informações da organização. Para evitar perda, dano, roubo ou comprometimento de ativos e interrupção das atividades da organização. 
  • Gerenciamento de comunicações e operações: ajudar a garantir que as informações sejam processadas corretamente, com um backup seguro e tratado adequadamente. 
  • Controle de acesso: ajudar a controlar o acesso a informações, redes e aplicativos, impedindo acesso não autorizado, interferência, danos e roubo. 
  • Aquisição, desenvolvimento e manutenção de sistemas de informação: garantir que a segurança seja parte integrante do sistema de informação, ajudando a proteger aplicações, arquivos e reduzindo vulnerabilidades. 
  • Gerenciamento de incidentes de segurança de informação: garantir que as violações e os problemas de segurança das informações sejam comunicados de forma consistente, de modo a permitir a tomada de ações corretivas em tempo hábil. 
  • Gerenciamento de continuidade de negócios: Garantir a neutralização de interrupções nas atividades de negócios e proteger processos críticos de negócios contra os efeitos de falhas ou desastres de sistemas de informações importantes. 
  • Conformidade: Evitar violações de qualquer lei, obrigação estatutária, regulamentar ou contratual e de quaisquer requisitos de segurança. Garantir a conformidade dos sistemas com políticas e padrões de segurança organizacionais.

Como implementar a ISO 27001

De forma bem simples, a implementação da norma ISO 27001 pode ser realizada de acordo com o bom e velho ciclo PDCA  (Planejar, Executar, Verificar e Agir), podendo ou não ser gerenciado por outras metodologias mais específicas. Aqui, apresentamos um roadmap de etapas básicas que recomendamos para a adoção da norma:

 

1. Definição do escopo

Essa etapa inicial define o escopo do projeto, o qual deve refletir com clareza os objetivos tanto do negócio quanto da implementação da ISO 27001. Isso inclui quaisquer requisitos, locais e departamentos específicos que serão impactados pelo SGSI.

A definição desse escopo é uma etapa importante, pois determina também o tempo, esforço e custo da iniciativa de adequação à norma. Quanto maior o escopo organizacional abordado pelo SGSI, mais tempo leva para a adaptação, mais esforço de vários departamentos será necessário e maior será também o custo da certificação em si.

 

2. Diagnóstico de Gaps (Gap Analysis)

Uma análise de gaps (lacunas) consiste em uma revisão minuciosa de todos os ativos presentes ou ausentes na organização que contribuem para o atendimento aos requisitos da norma. Basicamente, o objetivo é saber o quanto a organização está aderente e onde estão os pontos principais que precisam de melhorias para atender aos requisitos da norma, e que obviamente irão reduzir o risco das ameaças mapeadas.

 

3. Análise de risco

Essa é uma etapa delicada. A organização que deseja implementar um SGSI deve fazer uma avaliação criteriosa de riscos para identificar todos os seus ativos de informação e considerar os riscos, ameaças e vulnerabilidades associados a eles. Isso permitirá que a organização mapeie as possíveis ameaças e foque as ações do SGSI na mitigação desses riscos.

 

4. Declaração de aplicabilidade

A declaração de aplicabilidade deve listar todos os controles definidos na norma, explicando como e por que elas se aplicam ao escopo da organização, bem como foram atendidos dentro desse escopo.

Alguns controles definidos na ISO 27001 podem não se aplicar à sua organização ou para os riscos de segurança da informação aos quais ela está exposta. Se determinadas atividades, como transações eletrônicas, não forem realizadas na organização, os controles associados poderão ser formalmente excluídos.

A declaração de aplicabilidade (SOA) deve ser clara, concisa e de fácil compreensão. Como a ISO 27001 requer melhoria contínua, a documentação deve ser revisada e corrigida regularmente para refletir as mudanças nas práticas de negócios, nos processos e nos resultados do programa de melhoria contínua de segurança.

 

5. Programa de melhoria de segurança

Por esta altura, a organização já tem uma boa compreensão de sua conformidade com os requisitos da norma em termos de segurança da informação. Agora é hora de desenvolver políticas, procedimentos e controles técnicos ​​agora precisam ser desenvolvidos para proteger os ativos de informação contra os riscos que você identificou. Alguns podem exigir ações imediatas, enquanto outros simplesmente exigirão atualizações de regras ou instruções.

Muitas vezes, a organização já possui uma série de ativos organizacionais que podem e devem ser aproveitados pelo SGSI em implantação. Ter um programa de melhorias e um comitê de segurança da informação é um fator crítico de sucesso nesse tipo de iniciativa. Lembre-se de que é necessário que toda a organização, incluindo diretores e colaboradores, reconheça as ações realizadas por esse grupo e compreenda sua importância para a organização.

 

6. Implantação do SGSI

Uma vez que políticas, procedimentos e controles tenham sido desenvolvidos, é necessário que a organização os implante e os torne disponíveis para todos. Como toda organização é diferente, as práticas de trabalho também variam. A implementação de políticas deve ser auxiliada por treinamento, discussões e promoção. O envolvimento positivo da alta administração também é necessário para garantir que essas mudanças sejam adotadas e se tornem parte da cultura organizacional.

 

7. Teste, revisão e auditoria interna

À medida que você realiza ações destinadas a melhorar a segurança da informação, é essencial atestar cada ação ou mudança no processo para garantir que ela forneça as melhorias necessárias. Isso pode incluir avaliação externa, testes de penetração ou revisão por pares.

Além disso, auditorias internas do SGSI precisam ser realizadas para assegurar que a organização está de fato seguindo todas as diretrizes definidas e controles técnicos e de governança implantados. No entanto, uma visão de fora também fará com que você tenha maior êxito na institucionalização do SGSI e preparação para a certificação ISO 27001.

 

8. Revisão da gestão

A gerência deve participar da revisão do SGSI da organização e contribuir ativamente para a sua adequação e efetividade contínuas. A segurança da informação deve ser fundamental para as operações diárias de uma organização, com ajustes feitos conforme necessário para melhorar o desempenho geral do sistema.

Neste contexto, análises críticas devem ser realizadas frequentemente para entender se os riscos que deram origem ao SGSI estão de fato sendo mitigados, se a organização está aplicando tudo que foi definido, identificar potenciais novas ameaças ao negócio, entre outros aspectos

 

9. Melhoria contínua e ação corretiva

Tal como acontece com todos os padrões do sistema de gestão, é necessário rever o progresso alcançado. Auditorias internas e análises gerenciais continuam a ser os principais métodos de avaliação do desempenho do SGSI e ferramentas para a sua melhoria contínua. As não conformidades do SGSI precisam ser tratadas com ações corretivas para garantir que não ocorram novamente. Como em todos os padrões do sistema de gestão, a melhoria contínua é um requisito fundamental.

 

Resultados da ISO 27001

A norma ISO 27001 traz benefícios diretos e indiretos para a sua empresa, dentre eles estão:

  • Menores custos com tratamento de incidentes de segurança da informação;
  • Maior credibilidade da marca, pois demonstra preocupação com os dados do cliente;
  • Risco gerenciado por políticas de segurança claras e documentadas;
  • Competitividade em um mercado cada vez mais exigente em termos de qualidade e desempenho dos fornecedores.

Diante das crescentes ameaças à segurança da informação, a certificação ISO 27001 é um atestado que sua empresa cumpre os parâmetros necessários para uma boa gestão da segurança da informação.

Contar a experiência de uma consultoria especializada para obtenção da ISO 27001 será essencial para encurtar sua jornada para criação do SGSI e tornará sua obtenção de certificação mais assertiva.

 

Faça um diagnóstico gratuito

Saiba como está o sistema de gestão de segurança da informação da sua empresa, de acordo com a ISO 27001. Clique na imagem abaixo e realize seu autodiagnostico!

 

Deseja obter a certificação?

A Promove possui uma equipe experiente e preparada para diagnosticar e acompanhar sua empresa na adequação das práticas de Segurança da Informação e Privacidade.

 

David Zanetti

Sua expertise abrange desde a aplicação das melhores práticas do CMMI até o gerenciamento ágil de projetos, melhoria de processos e otimização de fluxos de trabalho, conduzindo as empresas a alcançarem resultados excepcionais.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Nenhum comentário aprovado.


Matérias Semelhantes

Certificação
2 de maio, 2024

Certificações para empresas de TI: Saiba quais são as mais importantes

À medida que os negócios expandem e aumentam sua base de clientes, é comum que as organizações necessitem demonstrar certos níveis de gestão e governança, co...
Ler artigo
Certificação
22 de abril, 2024

Certificação ISO 27001: O que você precisa saber para implementar a norma

A ISO 27001 é uma norma certificável que atesta que sua empresa cumpre os requisitos do International Organization for Standardizat...
Ler artigo
Certificação
17 de abril, 2024

O que é CMMI e como usar? Aprenda aqui!

CMMI significa Capability Maturity Model Integration (Modelo de Capacidade e Maturidade Integrado) e como o próprio nome diz é um modelo ...
Ler artigo